Capitolo VII. Iscrizione alle liste e modulo di iscrizione. Sessantunesima lezione. Cosa prevedono le norme in tema di iscrizione

Nel caso in cui tu abbia inserito nel tuo blog un modulo di iscrizione ad una newsletter o ad un corso via follow-up, un utente inserira’ i suoi dati nel modulo, leggera’ l’informativa contenuta nella privacy policy, o avra’ spuntato la classica checkbox, per manifestare, o facendo presumere di averla letta.

Infine, cliccando sul pulsante di iscrizione, avra’ espresso il suo consenso esplicito al trattamento dei suoi dati, anche eventualmente al fine di ricevere promozioni commerciali via e-mail, se l’avrai richiesto.

Ma l’utente potrebbe benissimo fornire un ulteriore consenso ad essere profilato secondo i suoi interessi, allo scopo di segmentare ulteriormente la sua appartenenza ad un target piu’ specifico.

Percio’ quando chiedi l’iscrizione ad una newsletter o ad un corso via follow-up automatico, devi rendere l’informativa immediatamente accessibile, contenuta nella tua pagina dei servizi gratuiti termini e condizioni, contenente un link alla tua privacy policy, posto prima o comunque vicino al pulsante di manifestazione del consenso, e devi sempre dare all’utente la possibilita’ di informarsi su come avvenga il trattamento, in modo tale che egli possa decidere se dare o non dare il suo consenso o revocarlo in un altro momento successivo, rispetto alla nascita del rapporto.

Certamente avere il consenso al trattamento dati e’ importante, ma bisogna capire se il consenso sia stato ottenuto senza alcun condizionamento, cioe’ liberamente, in modo esplicito e verificabile, quindi espresso secondo una libera scelta ovvero di opt-in.

Dunque in Europa non trovano applicazione le pratiche di opt-out, che sono espressamente vietate dal GDPR Europeo, ma che valgono negli USA, disciplinate dal Can Spam Act, come ad esempio, l’invio di messaggi email promozionali, senza alcun bisogno di consenso, anche di prodotti di terzi, e qui la differenza tra prodotti e/o servizi del mittente, o di terzi, non ha alcuna rilevanza giuridica, ma dando al destinatario la possibilita’ immediata di cancellarsi dalla lista.

Cioe’, in Europa, bisogna far capire in modo chiaro e trasparente che l’iscrizione e’ facoltativa, che per avere tale consenso non puoi costringere l’utente ad iscriversi e nemmeno puoi dare l’impressione che l’iscrizione sia obbligatoria.

Primo esempio di cio’ che il GDPR europeo espressamente vieta.

Questa immagine ha l'attributo alt vuoto; il nome del file è modulo-iscrizione-per-e-book-1.jpg
Figura 1

In questo grafico hai un esempio piuttosto chiaro che il consenso espresso con l’iscrizione e’ libero e facoltativo, ma se l’utente non lo esprimesse non potrebbe scaricare l’e-book.

Puoi notare la possibilita’ di fornire il consenso solo dopo aver preso visione dell’informativa contenuta nella privacy policy.

Per poter dare maggior forza alla dimostrazione di avere chiesto un consenso libero e facoltativo, sara’ lo stesso atto di spuntare la casella di checkbox ad aprire la privacy policy, con l’inserzione di un link interno alla casella stessa.

Se poi il link porti direttamente a leggere l’informativa, tramite un ancoraggio, risparmiando all’utente di perdere tempo a cercarla, sara’ ancora meglio, e cio’ dal punto di vista dell’usabilita’ del tuo sito.

Quindi nel caso tu richieda l’iscrizione per dare in cambio l’opportunita’ di scaricare un e-book gratuito, od ottenere un corso via follow-up automatici, o l’iscrizione ad una newsletter, i dati dell’utente sono necessari per ottenere il bonus, ma l’iscrizione in se’ non puo’ ritenersi obbligatoria o supposta tale.

Secondo esempio di cio’ che il GDPR europeo espressamente vieta.

Figura 2

Caso leggermante diverso e’ quello della richiesta di iscrizione, di cui alla presente figura 2, a un corso via follow-up automatici, (o ad una newsletter) in cui per incentivare l’iscrizione si dia un bonus come un e-book gratuito (o uno speciale sconto per l’acquisto di un prodotto, etc.).

Ferma restando la necessita’ della casella di checkbox per far leggere il diritto di informativa del destinatario, si richiede un’ulteriore casella di checkbox per manifestare il consenso all’iscrizione all corso via follow-up automatici (o ad una eventuale newsletter) per poter scaricare l’e-book in omaggio.

Quest’ultimo caso e’ tra i piu’ diffusi ed e’ qui che si registrano molti esempi di pratiche non lecite che lasciano supporre come l’iscrizione sia obbligatoria, cioe’ non facoltativa.

Se venisse impostato un segno di spunta preselezionato in entrambe le caselle di checkbox, cio’ starebbe ad indicare che non e’ possibile considerare facoltativa e libera una richiesta di iscrizione ad un corso via follow-up automatici, se lo scaricamento dell’e-book fosse condizionato dalla richiesta stessa.

Lo stesso scaricamento dell’e-book, che e’ possibile solo se l’utente fornisce i suoi dati, e’ sottoposto al consenso esplicitato tramite segno di spunta, allo scopo di prendere cognizione dell’informativa contenuta nella privacy policy, e tale consenso si puo’ considerare come facoltativo e liberamente dato.

Quindi l’utente non potra’ scaricare il bonus consistente in un e-book gratuito se non fornisce i suoi dati.

Ma altrettanto libero e facoltativo sara’ il consenso esplicito ed espresso con il segno di spunta, avente per oggetto l’iscrizione al corso via follow-up automatico.

In pratica non si puo’ ottenere un consenso libero se condizioni lo scaricamento dell’e-book all’iscrizione al follow-up.

Sono infatti due eventi completamente diversi ed indipendenti tra loro.

Intanto con la lettura dell’informativa l’utente da’ una prima autorizzazione al trattamento dei dati che consegue allo scaricamento dell’e-book, mentre per quel che concerne l’iscrizione al corso via follow-up automatico, occorre una seconda autorizzazione data tramite la seconda casella di checkbox.

Come nel precedente caso, di cui alla figura 1, valgono le stesse regole di comportamento viste.

Quindi per poter dare maggior forza alla dimostrazione di avere chiesto un consenso libero e facoltativo, sara’ lo stesso atto di spuntare la casella di checkbox ad aprire la privacy policy, con l’inserzione di un link interno alla casella stessa.

Inoltre se il link porta direttamente a leggere l’informativa, tramite un ancoraggio, risparmiando all’utente di perdere tempo a cercarla, sara’ ancora meglio, e cio’ dal punto di vista dell’usabilita’ del tuo sito.

In definitiva il consenso deve essere verificabile ed espresso in modo manifesto, onde non sono in nessun caso ammessi procedimenti di iscrizione a newsletter o a corsi via follow-up automatici per mezzo di caselle checkbox preselezionate.

Ovviamente, oltre al segno di spunta o al clic sulla casella checkbox, si puo’ richiedere all’utente di manifestare il suo consenso con una qualsiasi manifestazione diretta, come, ad esempio, l’invio di un messaggio e-mail.

Terzo esempio di cio’ che il GDPR europeo espressamente vieta.

Figura 3

Ma quello che veramente e’ molto piu’ frequente e’ il caso in cui si chieda l’iscrizione ad una newsletter o ad un corso via follow-up, dando in cambio un bonus immediato, ed offrendo anche la possibilita’ di ricevere messaggi email promozionali per avere offerte relative a prodotti propri e/o prodotti di terzi.

In generale e’ prescritto che il consenso che sia stato acquisito tramite un modulo di iscrizione deve riferirsi specificamente al tipo di contenuti che i destinatari riceveranno, come stabilito coerntemente nella pagina di termini e condizioni.

Se nel modulo hai inserito solo la casella per la possibilita’ data al destinatario, di scegliere il ricevimento via e-mail di promozioni relative a beni che tu produci direttamente, non puoi in seguito inviare promozioni per prodotti di terzi.

Oppure, anche se hai inserito tutte le possibilita’ di scelta, ed il destinatario ha scelto solo il ricevimento di promozioni relative a tuoi prodotti, ugualmente non puoi inviare promozioni per prodotti di terzi.

Quindi il follow-up di messaggi automatici o la newsletter devono contenere esclusivamente le informazioni che l’utente abbia desiderato ricevere.

Percio’ per aversi un consenso espresso valido, e’ necessario che l’utente si attivi, rendendo evidente di aver manifestato un consenso che possa essere verificato, come ad esempio la presenza del segno di spunta in una una casella di checkbox, nel modulo di iscrizione, che contenga espressamente, che, oltre ad essere iscritto, il destinatario ricevera’ utili informazioni e messaggi promozionali relativi a prodotti e/o servizi anche di terzi.

Quest’ultima frase, oltre ad essere contenuta nel modulo di iscrizione, dovra’ essere specificata meglio nella tua pagina di servizi gratuiti, termini e condizioni.

In ultima analisi il consenso ottenuto con una check box ha come oggetto le informazioni su prodotti e/o servizi, per i quali sia stato espresso, e nel caso si riferisca esclusivamente a offerte promozionali relative a prodotti e/o servizi del mittente, tale consenso non potra’ valere anche per l’invio di messaggi promozionali su prodotti e/o servizi di terzi.

In particolare se il mittente opera secondo pratiche di direct marketing, come nel caso di follow-up commerciali automatici, dovra’ inserire due distinte caselle di checkbox, in modo da dimostrare di aver avuto, con una casella, il consenso all’invio di promozioni via email, relative ai propri prodotti, e con l’altra casella, che venga spuntata dal destinatario, di aver ricevuto il consenso relativo all’invio di email promzionali su prodotti di terzi.

Se tu promuovi, come affiliato, solo prodotti e/o servizi di terzi, potrai inserire solo una sola casella di checkbox, in parte al riferimento ai prodotti e/o servizi di terzi, ed ovviamente tutto cio’ deve essere confermato nella pagina relativa ai servizi gratuiti, termini e condizioni.

In generale si puo’ affermare che non sia necessario aggiungere un ulteriore modulo di iscrizione per ottenere vari consensi specifici, in quanto per quella finalita’ bastera’ inserire delle ulteriori caselle di checkbox per informare l’utente sugli agli scopi che si vogliano conseguire e permettergli di esprimere il suo consenso riguardo ad essi.

Nel caso in cui ci fosse, oltre a tali riferimenti, la possibilita’ di accedere direttamente alla privacy policy, con l’informativa, non sarebbe una cattiva idea, in quanto l’utente deve sempre poter conoscere su come avvenga il trattamento dei suoi dati, per poi decidere di accettare o non accettare di iscriversi.

In generale si puo’ affermare che il modulo di iscrizione che contenga la dicitura “iscriviti al corso via follow-up o alla newsletter per ricevere informazioni sui prodotti venduti e promozioni commerciali relative ai prodotti di terzi” oppure che contenga la casella di checkbox, appena esaminata, rappresentano delle ipotesi differenti, in cui nel primo caso trattasi di consenso implicito, e nel secondo di consenso esplicito, in quanto il destinatario dovra’ attivarsi, appunto esplicitamente, nello spuntare la predetta casella di checkbox.

Il primo caso di consenso implicito citato rappresenta un primo esempio di eccezione alla regola del consenso espresso.

Infatti se il modulo di iscrizione, in modo esplicito, contiene la finalita’ perseguita di promuovere prodotti propri, oppure alternativamente di promuovere prodotti di terzi, anche in mancanza di una casella di checkbox da spuntare, nondimeno l’inserimento dei propri dati nei box, da parte dell’utente, viene considerato alla stregua di un consenso legittimamente espresso.

Un secondo caso di consenso implicito, altro esempio di eccezione alla regola del consenso espresso, l’ho esaminato nelle lezioni relative alla terza strategia di utilizzo di una squeeze page, dove ho affrontato l’argomento specifico relativo alla fornitura di un indirizzo e-mail nel corso di un acquisto.

Ed in tal caso le regole del GDPR europeo, come integrate dalle norme italiane, prevedono che si possa utilizzare tale indirizzo per inviare future promozioni commerciali, purche’ aventi ad oggetto prodotti e/o servizi simili a quello precedentamente acquistato, e purche’ il destinatario sia stato informato in modo completo, riguardo a tale intenzione, mediante un diretto riferimento contenuto nella pagina di conferma dell’ordine e purche’ il nuovo cliente non abbia rifiutato di avallare tale iniziativa.

In conclusione se hai intenzione di inviare diverse categorie di messaggi e-mail ai tuoi iscritti, e’ obbligatorio conseguire un consenso espresso aggiuntivo e che sia specificato per quegli scopi, oltre a quelli per i quali il consenso sia gia’ stato ottenuto, poiche’ bisogna avere uno specifico consenso per qualsiasi tipologia di trattamento dati.

Il consenso dato precedentemente puo’ essere revocato dagli iscritti.

Il GDPR Europeo prescrive che gli utenti iscritti abbiano il diritto di revocare il loro consenso al loro trattamento dati in modo altrettanto facile quanto alla prestazione del loro consenso.

Di regola i destinatari devono poter esercitare tale diritto per mezzo di un link posto in ogni messaggio ricevuto, sia di follow-up automatici che di newsletter, oppure con l’invio di un messaggio vuoto con oggetto “cancellami”.

In generale l’invio di un messaggio vuoto allo scopo di iscriversi o cancellarsi rappresenta una prassi normale per qualsiasi software autoresponder, nel senso che il destinatario del messaggio di cancellazione, dopo averlo ricevuto deve compiere un’azione positiva diretta all’inclusione o all’esclusione dell’iscritto.

Invece nel caso di arpReach, l’iscrizione o la cancellazione per mezzo del messaggio vuoto, sono processi automatici, che vengono attivati con l’invio del messaggio vuoto, con oggetto iscrivimi o cancellami.

Inoltre gli utenti iscritti dovrebbero avere il diritto anche di gestire le proprie preferenze di iscrizione alla tua lista, con la possibilita’ di scegliere il formato di ricevimento dei messggi in html o solo testo, o la modifica del loro indirizzo e-mail nel caso in cui abbiano cambiato il loro gestore dei servizi e-mail, oppure, se l’hai previsto, anche il numero di messaggi e-mail che puoi inviargli, in una dato intervallo temporale prescelto.

Questa possibilita’ di gestire le proprie preferenze dovrebbe essere data agli utenti attraverso la concessione di un proprio account gratuito, ma non tutti i software per la gestione di follow-up automatici e di newsletter sono dotati di una funzione del genere.

Il software autoresponder arpReach fornisce al destinatario la possibilita’ di avere un suo account per la gestione delle sue preferenze di iscrizione.

Ma arpReach da’ anche la possibilita’ di gestire e di modificare la propria iscrizione, attraverso dei link specificamente inseriti in ogni messaggio e-mail.

Per quanto riguarda la cancellazione da una lista la prassi piu’ consolidata e consigliata, per poter offrire un’immagine di serieta’, e’ quella di dare al destinatario la possibilita’ di cancellarsi immediatamente con un solo clic del mouse.

Anche questo viene offerto da arpReach.

Tra le prassi vietate in quasi tutte le normative nazionali, vi e’ quella di distanziare notevolmente il link di cancellazione rispetto al corpo del messaggio, nel senso che tale link dovrebbe far parte integrale del corpo del messaggio, dopo una semplice riga di spazio vuoto, ed immediatamente prima del pie’ pagina, quando sia composto dal logo del mittente e della dicitura “powered by…” riferita al software autoresponder utilizzato, e consistente in un link, eventualmente contenente la propria affiliazione allo stesso software autoresponder.

Quanto al registro dei consensi e’ necessario ed obbligatorio registrare con precisione i consensi che sono stati ricevuti.

Tale registro deve contenere una serie di informazioni del seguente tenore:

  • id dell’iscritto, molto utile in caso di contestazioni vertenti sull’iscrizione;
  • nome e cognome dell’iscritto;
  • oggetto dell’iscrizione;
  • la data in cui e’ stato dato il consenso o data di iscrizione;
  • le informazioni date all’utente al momento della prestazione del suo consenso;
  • gli strumenti per ottenere il consenso, come iscrizione tramite modulo, o messaggio vuoto con oggetto iscrivimi, oppure una telefonata e il successivo messaggio e-mail di conferma;
  • la data relativa alla eventuale revoca del consenso o cancellazione dalla lista.

Con il software autoresponder arpReach hai la possibilita’ di avere un registro completo con tutti questi dati, che potrai persino esportare in excel, e che ti forniranno le prove evidenti che i consensi ricevuti sono stati dati da ogni utente.

Tuttavia puo’ capitare chetra gli iscritti si trovi qualcuno che non ha mai dato il consenso all’iscrizione, perche’ magari e’ stato iscritto da qualcun’altro.

Ecco che il rimedio piu’ efficiente per evitare simili situazioni e’ quello di adottare la procedura di iscrizione del doppio opt-in.

Con il singolo opt-in, l’iscrizione avviene direttamente al momento della prestazione del consenso, attraverso l’inserimento dei propri dati, come nome ed indirizzo e-mail.

Invece con il doppio opt-in la prestazione del consenso che da’ luogo alla iscrizione e’ ritardata ad un momento successivo rispetto all’inserimento dei propri dati in un modulo, e cio’ al momento della conferma della propria iscrizione, con l’attivazione di un link specifico contenuto in unmessaggio di conferma dell’intenzione di volersi iscrivere.

Con questo sistema, gia’ esaminato in una lezione precedente, si puo’ avere la garanzia che l’indirizzo e-mail di chi si iscrive corrisponda esattamente all’utente che abbia espresso il consenso.

Come ho gia’ avuto modo di dire, questa procedura consente di evitare che vi sia un numero troppo elevato di cancellazioni, perche’ tali accadimenti possono mettere in allarme non solo il server dei destinatari, ma anche il server di uscita, con probabilita’ di blocchi per spam.

In tal modo resta assicurata l’integrita’ della propria lista di iscritti e viene mantenuta la propria reputazione, a livello personale, di sito web, e di indirizzo e-mail.

Questo sistema di iscrizione e’ considerato il migliore da alcuni pesi della comunita’ europea.

In particolare in Germania, che ha sempre avuto norme piu’ severe in tema di iscrizione ad una lista, esiste addirittura un orientamento giurisprudenziale, secondo il quale la procedura del singolo opt-in non garantisca l’esistenza di una prova sufficiente a se’ stante, dell’esistenza di un consenso all’iscrizione.